项目介绍
大多数web应用程序防火墙(waf)在发送请求正文时,对它们可以处理的数据量有限制。这意味着对于包含请求体(即POST、PUT、PATCH等)的HTTP请求,通常可以通过简单地添加垃圾数据来绕过WAF。
当请求中填充了垃圾数据时,WAF将处理X kb的请求并进行分析,但是超出WAF限制的所有数据都将直接通过
nowafpls是一个简单的Burp插件,它会将这些垃圾数据插入到repeater选项卡中的HTTP请求中,您可以从预设数量的垃圾数据中选择想要插入的数据,也可以通过选择“自定义”选项插入任意数量的垃圾数据。这个工具只有80行左右的Python代码,非常简单,但适用于大多数WAFs
WAF限制
WAF Provider | Maximum Request Body Inspection Size Limit |
---|---|
Cloudflare | 128 KB for ruleset engine, up to 500 MB for enterprise |
AWS WAF | 8 KB - 64 KB (configurable depending on service) |
Akamai | 8 KB - 128 KB |
Azure WAF | 128 KB |
Fortiweb by Fortinet | 100 MB |
Barracuda WAF | 64 KB |
Sucuri | 10 MB |
Radware AppWall | up to 1 GB for cloud WAF |
F5 BIG-IP WAAP | 20 MB (configurable) |
Palo Alto | 10 MB |
使用方式
初始请求被拦截:
使用扩展混淆数据:
演示视频如下:https://mpvideo.qpic.cn/0bc36yaaoaaa3uabas4wjztfb5wda73aabya.f10002.mp4?
免责声明
请勿从事非法测试,利用此工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与作者无关。该仅供安全人员用于授权测试,请勿非法使用!!!